三星意外泄露海量数据泄露应用程序的源代码

文章来源:绿盟市场 时间:2019-05-10 16:11

当我们处理数据泄漏时,我们通常会想到有问题的公司是黑客的受害者,但事实证明,在三星的情况下这只是疏忽。与用户名,电子邮件和密码相反,数据泄漏涉及其某些应用程序的源代码,这可能只是冰山一角。充其量,没有人发现他们可以访问资源,并且打开的门仍未打开。在最坏的情况下,有些人不仅可以访问Bixby和SmartThings的源代码,还可以访问其他一些项目。

这个问题是由SpiderSilk的安全研究员Mossab Hussein发现的,他注意到GitLab上实际上有很多三星的项目可供使用,开发人员经常将他们的工作保留在这种类型的服务上。一些开发人员可能厌倦了在使用项目时不断输入密码并摆脱它,问题是来自公司外部的人可能已经下载了包含专有数据的项目。

根据TechCrunch的报告,Mossab Hussein获得的访问级别比几个项目更加一致,研究人员设法找到以明文形式存储的私人GitLab令牌,并打开了更多门。事实上,其中一个令牌授予他超过135个项目的权限,其中许多项目实际上是私有的。

还有一些其他问题,有一些邪恶意图的人可能已经使用访问权限将恶意软件注入应用程序。

更糟糕的是,Mossab Hussein于4月10 日向三星通报了这个问题,但公司没有承认超过20天。当然,凭据被撤销,三星表示,据他们所知,他们没有发现任何篡改或访问的证据。


更多